MaxPatrol SIEM All-in-One дает полную видимость IT-инфраструктуры малого и среднего масштаба и выявляет инциденты ИБ. Продукт позволяет получить полноценную работающую SIEM-систему при меньшем бюджете.
Обзор продукта
Для компаний с небольшой, но важной инфраструктурой
Если в вашей IT-инфраструктуре хранятся чувствительные данные и ее взлом может привести к репутационным рискам, потере денег или нарушению работы компании, нужно построить эффективную систему безопасности. MaxPatrol SIEM All-in-One помогает выявлять хакерскую активность внутри сети до наступления серьезных последствий и проводить расследования.
Отличия All-in-One от MaxPatrol SIEM
| MaxPatrol SIEM All-in-One | MaxPatrol SIEM | |
|---|---|---|
| Архитектура | Упрощенная. Нет компонентов для глубокого анализа трафика, проверки файлов и электронной почты на наличие в них вредоносного ПО и аналитического модуля для оценки общего уровня защищенности компании с распределенной инфраструктурой | Подбирается индивидуально под пожелания заказчика, размеры инфраструктуры и объем генерируемых событий в секунду (EPS) |
| Масштабирование | Ограничено возможностью расширения лицензии до 1000 узлов. В состав лицензии входит один агент для сбора данных | Неограниченное масштабирование. Можно организовать несколько развернутых инсталляций в иерархию |
Архитектура
Основные компоненты MaxPatrol SIEM All-in-One разворачиваются на одном аппаратном сервере, который поставляется вместе с ПО. Компоненты PT Retro Correlator для ретроспективного анализа и PT Update and Configuration Service для получения онлайн-обновлений требуют дополнительных серверов (виртуальных или аппаратных).
1. MaxPatrol Core
Управляющий сервер
2. MaxPatrol SIEM Server
Обрабатывает события безопасности: выполняет агрегацию, фильтрацию, нормализацию и корреляцию событий, автоматически создает инциденты, привязывает события к активам
3. MaxPatrol SIEM Events Storage
Централизованно хранит информацию о событиях безопасности. В состав компонента входит служба Elasticsearch 7.4.2
4. MaxPatrol SIEM Agent
Cканирует активы в режимах черного и белого ящика и собирает события
5. PT Knowledge Base
Содержит пакеты экспертизы, макросы и схему полей событий, сведения о бюллетенях безопасности и возможном ПО на активах
6. PT Update and Configuration Service
Сервис онлайн-обновления компонентов MaxPatrol SIEM. Обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление пакетов экспертизы, макросов, схемы полей событий и базы данных по уязвимостям. PT UCS можно развернуть в виртуальной среде
7. PT Retro Correlator
Выполняет повторную проверку полученных ранее событий при помощи правил корреляции. Разворачивается на дополнительном сервере
Схема взаимодействия компонентов
Отзывы
«С внедрением решения MaxPatrol SIEM мы получили эффективный инструмент анализа в режиме реального времени всех событий безопасности, исходящих от множества сетевых устройств и приложений. Это позволило сотрудникам отдела информационной безопасности оперативно реагировать на любые события ИБ до наступления существенного ущерба. Время обработки событий также значительно сократилось».
«MaxPatrol SIEM All-in-One — это быстрый способ получить работающую SIEM-систему. За три месяца с помощью консультаций специалистов Positive Technologies нам самостоятельно удалось внедрить систему и настроить необходимые источники. Благодаря этому мы получили подробную картину IT-инфраструктуры и отслеживаем инциденты ИБ».
Рассказываем в отчете, какие задачи заказчики ставят перед пилотным внедрением MaxPatrol SIEM, что чаще всего подключают в качестве источников событий и какие инциденты ИБ были выявлены.
Узнать деталиБесплатный пилот
Оцените возможности MaxPatrol SIEM All-in-One на вашей инфраструктуре — заполните заявку и начните выявлять актуальные угрозы с помощью экспертизы Positive Technologies.
Если вы хотите отслеживать активность в крупной сети, попробуйте MaxPatrol SIEM с гибкой архитектурой, возможностью бесконечного масштабирования и иерархически-распределенных инсталляций.
Узнать подробнее
«С помощью MaxPatrol SIEM существенно повысилась скорость обработки инцидентов информационной безопасности».